php 串行化 serialize() unserialize() session_register() __sleep() __wakeup()

最新推荐文章于 2024-10-18 14:55:22 发布
最新推荐文章于 2024-10-18 14:55:22 发布
阅读量1.3k 收藏 2
点赞数
文章标签: session php string function include object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jwf04/article/details/6500097
版权

zz from http://www.jxuan.com/archives/103

Code:
  1. 1. 串行化的基础认识:   是指将一个变量(包括对象)转换成字节流的过程。串行化有效的解决了对象的保存和传输的问题.例如,如果在用session并使用了 session_register() 来注册对象,这些对象会在每个 PHP 页面结束时被自动序列化,并在接下来的每个页面中自动解序列化,这样在每个PHP页面中都可以使用这些对象。PHP为我们提供了两个函数,用来进行串行化和反串行化的操作,这两个函数分别是:serialize()和unserialize()。serialize()可以处理除资源指针之外的所有类型, 该函数返回一个可以被存储在任何地点的字节流表达式的字符串。  
  2.   
  3. <?php  
  4. //整型  
  5. $var = 23;  
  6. echo serialize($var).”/n”;    //i:23;  
  7.   
  8. //浮点型  
  9. $var = 1.23;  
  10. echo serialize($var).”/n”;    //d:1.229999999999999982236431605997495353221893310546875;  
  11.   
  12. //字符串  
  13. $var = “This is a string”;  
  14. echo serialize($var).”/n”;    //s:16:”This is a string”;  
  15.   
  16. //布尔型  
  17. $var = true;  
  18. echo serialize($var).”/n”;    //b:1;  
  19.   
  20. //数组变量  
  21. $var = array(“abc”, “def”, “xyz”, “123″);  
  22. echo serialize($var).”/n”;    //a:4:{i:0;s:3:”abc”;i:1;s:3:”def”;i:2;s:3:”xyz”;i:3;s:3:”123″;}  
  23.   
  24. $var = array(“index1″=>”abc”, “index2″=>”def”, “index3″=>”xyz”, “index4″=>”123″);  
  25. echo serialize($var).”/n”;    //a:4:{s:6:”index1″;s:3:”abc”;s:6:”index2″;s:3:”def”;s:6:”index3″;s:3:”xyz”;s:6:”index4″;s:3:”123″;}  
  26.   
  27. //对象序列化  
  28. class A  
  29. {  
  30. public $a = “a string”;  
  31. public $b = 123;  
  32. public $c = 123.12;  
  33. }  
  34. $obj = new A;  
  35. $str = serialize($obj);  
  36. echo $str.”/n”;              //O:1:”A”:3:{s:1:”a”;s:8:”a string”;s:1:”b”;i:123;s:1:”c”;d:123.1200000000000045474735088646411895751953125;}  
  37. $obj2 = unserialize($str);   //进行反序列化  
  38. var_dump($obj2 == $obj);     //bool(true)  
  39. ?>  
  40.   
  41. 2. 在用 unserialize()时需要注意的一个问题: 在一个PHP页面中要 unserialize() 一个对象,需要该页面包含该对象的类的定义。也就是,如果序列化了 page1.php 中类 A 的对象 $a, 要在 page2.php 中将其反序列化重建类 A 的对象 $a,则 page2.php 中必须要出现类 A 的定义。这可以这样实现,将类 A 的定义放在一个包含文件中,并在 page1.php 和 page2.php 都包含此文件。 所以强烈建议在所有的页面中都包括这些注册的对象的类的定义,即使并不是在所有的页面中都用到了这些类。如果没有这样做,一个对象被反序列化了但却没有其类的定义,它将失去与之关联的类并成为 stdClass 的一个对象而完全没有任何可用的函数。(stdClass是一个空类,里面没有属性也没有方法  
  42.   
  43. var_dump(get_class_methods(stdClass));var_dump(get_class_vars(stdClass));)  
  44.   
  45. //classa.inc:  
  46. class A  
  47. {  
  48. var $one = 1;  
  49.   
  50. function show_one()  
  51. {  
  52. echo $this->one;  
  53. }  
  54. }  
  55.   
  56. //page1.php:  
  57. include(“classa.inc”);  
  58.   
  59. $a = new A;  
  60. $s = serialize($a);  
  61. $fp = fopen(“store”, “w”); // 将 $s 存放在某处使 page2.php 能够找到  
  62. fputs($fp$s);  
  63. fclose($fp);  
  64.   
  65. //page2.php:  
  66. include(“classa.inc”);      // 为了正常解序列化需要这一行  
  67.   
  68. $s = implode(“”, @file(“store”));  
  69. $a = unserialize($s);  
  70.   
  71. $a->show_one(); // 现在可以用 $a 对象的 show_one() 函数了  
  72.   
  73. ?>  
  74.   
  75. 如果以上的例子中 $a 通过运行 session_register(“a”) 成为了会话的一部分,$a会在该PHP 页面结束时被自动序列化,在其他PHP页面中会自动反序列化从而可以使用该对象,那么应该在所有的页面中包含 classa.inc 文件,而不只是 page1.php 和 page2.php。  
  76.   
  77. 3.__sleep() __wakeup()  
  78.   
  79. serialize() 检查类中是否有 __sleep() ,如果有,则该函数将在任何序列化之前运行。该函数必须返回一个需要进行序列化保存的成员属性数组,并且只序列化该函数返回的这些成员属性. 该函数有两个作用: 第一. 在序列化之前,关闭对象可能具有的任何数据库连接等. 第二. 指定对象中需要被序列化的成员属性,如果某个属性比较大而不需要储存下来,可以不把它写进__sleep要返回的数组中,这样该属性就不会被序列化  
  80.   
  81. 相反地,unserialize() 从字节流中创建了一个对象之后,马上检查是否具有__wakeup 的函数的存在。如果存在,__wakeup 立刻被调用。使用 __wakeup 的目的是重建在序列化中可能丢失的任何数据库连接以及处理其它重新初始化的任务。  
  82.   
  83. <?php  
  84. class User  
  85. {  
  86. public $name;  
  87. public $id;  
  88.   
  89. function __construct()  
  90. {  
  91. $this->id = uniqid();          //give user a unique ID 赋予一个不同的ID  
  92. }  
  93.   
  94. function __sleep()  
  95. {  
  96. return(array(“name”));        //do not serialize this->id 不串行化id  
  97. }  
  98.   
  99. function __wakeup()  
  100. {  
  101. $this->id = uniqid();         //give user a unique ID  
  102. }  
  103. }  
  104.   
  105. $u = new User;  
  106. $u->name = “HAHA”;  
  107.   
  108. $s = serialize($u);                   //serialize it 串行化 注意不串行化id属性,id的值被抛弃  
  109.   
  110. $u2 = unserialize($s);                //unserialize it 反串行化 id被重新赋值  
  111. //$u and $u2 have different IDs $u和$u2有不同的ID  
  112. var_dump($u);  
  113. var_dump($u2);  
  114. ?>  
  115.   
  116. ———- PHP debug ———-  
  117. object(User)#1 (2) {  
  118. ["name"]=>  
  119. string(4) “HAHA”  
  120. ["id"]=>  
  121. string(13) “47fa045529f69″  
  122. }  
  123. object(User)#2 (2) {  
  124. ["name"]=>  
  125. string(4) “HAHA”  
  126. ["id"]=>  
  127. string(13) “47fa04552a49a”  
  128.   
  129. }  
  130. 输出完成 (耗时: 0 秒) – 正常终止  

 

jwf04
关注
php session_start()出错原因分析及解决方法
10-26
这就需要检查PHP的配置选项,例如session.save_handler、session.save_path以及session.serialize_handler等,确保它们与服务器环境相兼容。 此外,一些PHP安全扩展,如Suhosin,可能会对会话的默认行为施加额外的...
基于session_unset与session_destroy的区别详解
10-27
- session.serialize_handler定义了如何序列化会话数据。 - session.gc_probability和session.gc_maxlifetime与会话数据的垃圾回收有关,决定了多久清理过期的会话数据。 - session.referer_check用于检查HTTP引用以...
[php] serialize, unserialize the session data in PHP
weixin_33726318的博客
02-13 155
As we know, in PHP, we can use session_encode() and session_decode() to encode/decode the session data, but, if you have tried these two functionality, you will see the they are not going as you think...
php serialize()与unserialize()不完全研究
AKmumu的专栏
10-22 625
serialize()和unserialize()在php手册上的解释是: serialize — Generates a storable representation of a value serialize — 产生一个可存储的值的表示 unserialize — Creates a PHP value from a stored representation unserialize
php unserialize 返回false的解决方法
热门推荐
傲雪星枫
07-23 3万+
php 提供serialize(序列化) 与 unserialize(反序列化)方法。 使用serialize序列化后,再使用unserialize反序列化就可以获取原来的数据。
php unserialize反序列化报错问题
huihuangjiuai的专栏
10-30 2618
一开始在本地测试的时候,取序列化值得时候,直接是unserialize(数组)["名称"],这样使用,没问题,也不报错。后来传到服务器上以后(tp框架),莫名其妙报错,也没有具体错误原因。挨个方法调试以后,终于找到就是unserialize的原因。 后来用变量接受一下反序列化的数组,然后用变量["名称"]的方式调用,一点问题没有。不知道这是不是一个unserialize的漏洞。希望能给大家一个提
php函数unserialize反序列化编码问题
junming4的专栏
08-31 2194
有些时候由于序列化的编码问题,当反序列化时会出现retun false的情况,该情况的解决方案: //UTF-8 function mb_unserialize($serial_str) { $serial_str = str_replace("\r", "", $serial_str); $serial_str = preg_replace('!s:(\d+):"(.*?)";!
empt注意事项 php_PHP编程注意事项
weixin_39996478的博客
12-21 136
1、php隐性的三元操作符(?:)优先级问题:例1:复制代码 代码如下:$person = $who or $person = "laruence";//实际上是等同于:$person = empty($who)? "laruence" : $who;例2复制代码 代码如下:$arr = array(1=>1,3=>3);$i = 2;$a = 'test‘ . isset($arr[...
php 串行化数据,PHP中的串行化变量和序列化对象
weixin_35654499的博客
03-17 105
其实跟上面没有太大区别,不过是开始的索引变成了保存字符串的形式,比如第一个元素:s:6:"index1";s:3:"abc";第一项就是索引值:s:6:"index1"; s是类型,6是索引字符串的长度,"index1"就是索引的值。后面的s:3:"abc"; 就是元素值,这个好理解,就不讲了。从上面来看,我们大致了解了基本数据类型的串行化,其实我们完全可以构造自己的串行化功能,或者从这个角度去扩...
empt注意事项 php_基于PHP编程注意事项的小结
weixin_39984578的博客
12-21 163
1、php隐性的三元操作符(?:)优先级问题:例1:$person = $who or $person = "laruence";//实际上是等同于:$person = empty($who)? "laruence" : $who;例2$arr = array(1=>1,3=>3);$i = 2;$a = 'test‘ . isset($arr[$i]) ? $arr[$i] : $i...
php类对象序列化,PHP中的串行化变量和序列化对象
weixin_40009063的博客
03-23 94
串行化大概就是把一些变量转化成为字符串的字节流的形式,这样比较容易传输、存储。当然,关是传输存储没有什么,关键是变成串的形式以后还能够转化回来,而且能够保持原来数据的结构。在PHP中有多串行化处理的函数:serialize(),该函数把任何变量值(除了资源变量)转化为字符串的形式,可以把字符串保存到文件里,或者注册为Session,乃至于使用curl来模拟GET/POST来传输变量,达到RPC的效...
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
标签中的“mfc_serialize_socket”表明这些示例还涵盖了通过网络套接字进行串行化。`CSocket`类是MFC提供的网络编程接口,它允许对象通过TCP/IP协议进行通信。通过结合`CSocket`和`CArchive`,对象可以被发送到远程...
PHP中json_encode、json_decode与serializeunserialize的性能测试分析
10-29
序列化是将一个对象或数据结构转换为可以存储或传输的格式(通常是字符串),这个过程在PHP中被称为“串行化”。反序列化则是将序列化的字符串恢复为原始对象或数据结构的过程。 PHP内置的serialize函数将对象或...
VarExporter组件允许将任何可序列化PHP数据结构导出为纯PHP代码。 这样做时,它保留了与PHP的序列化机制(__wakeup,__ sleepSerializable)相关的所有语义。-PHP开发
05-27
PHP(__ wakeup,__ sleepSerializable,__ serialize,__ unserialize),它还提供了一个实例化程序,该实例化程序无需调用其构造函数或任何其他方法即可创建和填充对象。使用此组件与serialize()或igbinary的...
【OSCP Proving Grounds 靶场系列】Slort
Eason_LYC安全白帽子的成长博客
10-14 408
【OSCP Proving Grounds 靶场系列】Slort
代码审计笔记-PHP
梦想闹钟
10-14 448
代码审计笔记-PHP
使用ROS资源编排一键部署LNMP建站环境,手动整理教程
最新发布
facaixxx2024的博客
10-18 627
LNMP是目前主流的网站服务器架构之一,适合运行大型和高并发的网站应用,例如电子商务网站、社交网络、内容管理系统等。对模板内Parameters定义的参数进行分组,并且可以为每一组分别定义标签。本示例中,模板定义的参数包括:镜像ID、实例规格、软件下载地址以及软件配置项等。定义模板将要创建的阿里云资源。本示例中,声明将要创建一台VPC类型的ECS实例和一个安全组,这里声明的资源属性可以引用。定义资源创建完成后,栈需要输出的资源信息。(必填)设置ECS实例使用的实例规格。设置ECS实例的系统盘的云盘类型。
OneThink && ThinkCMS && think.cms
chenbei100的博客
10-18 128
产品介绍: ThinkCMS是一个基于国内领先开源框架ThinkPHP开发的开源CMS内容管理平台。ThinkCMS采用模块化开发,方便您自由扩展网站的使用范围。灵活多变,敏捷应用,适用于企业网站以及行业网站搭建的高性能内容管理系统。参考官方开源ThinkCMS产品上,OneThink产品上,优化了界面UI。推出的新的产品think.cms《让简洁 更 简洁》产品介绍:OneThink是简单而强大的内容管理框架,让WEB开发更快速!
【信息安全管理与评估】2023年全国职业院校技能大赛赛题第05套
Play_Sai的博客
10-16 1025
集团、分公司的网络结构详见拓扑图。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。A 集团的CentOS 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
理解PHP反序列化漏洞:__wakeup()与安全风险
`serialize()`函数用于执行序列化,`unserialize()`则用于反序列化。在这个过程中,PHP提供了一些特殊的“魔术方法”来控制对象的状态。 `__sleep()`和`__wakeup()`是两个关键的魔术方法。当对象被序列化时,`__...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值